銀(yín)行業(yè)統一(yī)安全管理與運維審計解決方案
行業(yè)痛點及需求

随著(zhe)互聯網的發展,人們對網上(shàng)購物(wù)和電(diàn)子商務的需求越來越大,促使銀(yín)行業(yè)大力發展線上(shàng)業(yè)務,通(tōng)過手機(jī)支付、網上(shàng)銀(yín)行等互聯網渠道為(wèi)公衆提供金融服務,與此同時,如何保障這些基礎設施資産的正常運行和核心數據不被洩露,免受内部人員(yuán)的越權訪問操作和外部黑(hēi)客的侵擾攻擊,成了銀(yín)行業(yè)内的一(yī)大難題。某銀(yín)行是經中國(guó)銀(yín)監會(huì)批準設立的全國(guó)性股份制商業(yè)銀(yín)行,随著(zhe)跨區域發展戰略的執行、業(yè)務持續擴張、規模不斷的發展壯大,一(yī)旦發生(shēng)業(yè)務中斷事(shì)故,即使很短的時間,都會(huì)造成莫大的損失;數據庫中存儲的大量交易數據,不僅涉及經濟利益,其中還(hái)包含了個(gè)人隐私信息,一(yī)旦洩露,會(huì)對銀(yín)行的信譽造成難以挽回的損害。IT信息科技(jì)方面的風險和威脅日益劇增,如何保證整個(gè)IT系統運行的穩定安全,也成為(wèi)了決策層和管理層迫在眉捷的挑戰。

行業(yè)需求

為(wèi)了保障金融行業(yè)做好安全工(gōng)作,銀(yín)監會(huì)也加大了對各銀(yín)行的監管力度,出據了各種條件(jiàn)和指引文件(jiàn),指導銀(yín)行的信息化安全建設和規範,做到(dào)未雨綢缪,防止數據安全事(shì)件(jiàn)的發生(shēng)。其中著(zhe)重提到(dào)了運維操作風險管理,要求單位對數據中心後台的所有操作都要有記錄,做到(dào)有據可查。銀(yín)監局在對該商業(yè)銀(yín)行信息科技(jì)風險監管檢查風險評估中就(jiù)發現許多(duō)問題,主要如下(xià):


1.賬号共享、交叉管理:由于多(duō)個(gè)維護人員(yuán)同時使用一(yī)個(gè)賬号做運維,如果出現誤操作,無法确定具體操作人;
2.授權管理:對于高(gāo)權限賬戶,權限沒有好的管控辦法,隻要網絡可達,擁有用戶名和密碼,可以随時登錄操作數據中心後台;
3.操作行為(wèi)管控:運維人員(yuán)(代維廠商)對數據中心的後台操作是不透明的,信息中心負責人不知道誰什麽時候在後台做了什麽操作,沒有好的監控辦法;
4.數據外洩:像RDP、FTP類的協議,都帶有磁盤映射功能(néng),如果不能(néng)控制好維護協議的傳輸控制,核心機(jī)密數據有外彙的風險存在;
5.數據庫訪問來源複雜(zá),難以确定數據庫操作的真實訪問者;
6.數據庫系統自(zì)身日志(zhì)記錄信息不全,違規事(shì)件(jiàn)無法及時、準确的發現;

7.數據庫操作過程完全處于“暗(àn)箱”之中,難以了解細節


我們的方案
統一(yī)接入入口

建立統一(yī)的安全運維接入平台,為(wèi)核心業(yè)務系統提供統一(yī)運維操作入口,實現單點登錄。所有運維人員(yuán)都首先登陸統一(yī)運維平台,在系統上(shàng)進行運維操作,實現對其的統一(yī)訪問控制和管理;


賬号集中管理

實現集中化、基于角色的的主從(cóng)帳号管理,建立自(zì)然人與設備帳号之間的一(yī)一(yī)對應關系,并對設備帳号進行統一(yī)管理,定期進行密碼修改;


嚴格權限控制

對用戶使用業(yè)務系統中資源的具體情況進行合理分配,實現不同用戶對不同部分實體資源的合法訪問,杜絕非法訪問和越權訪問。每個(gè)運維人員(yuán)的權限都實現有效控制,策略細粒到(dào)可訪問的設備和可使用的賬号;


完善事(shì)後審計

對運維操作的過程進行完全跟蹤和記錄,完整保存運維操作的所有日志(zhì);統計自(zì)然人對資源的訪問情況,在出現安全事(shì)故時,可以故障定為(wèi)和責任追蹤;對人員(yuán)的登錄過程、操作行為(wèi)進行審計和處理,建立完善針對“自(zì)然人→資源”訪問過程的完整審計;為(wèi)監管部門(mén)提供審計平台和審計數據。審計提供了錄像和命令的完整查看(kàn),并可提供快速準确的搜索定位;


方案高(gāo)可用性
設備旁路(lù)部署,不用改變現有網絡拓撲,支持雙機(jī)熱備、集群和分布式部署,提高(gāo)平台的可靠性。無需在業(yè)務系統上(shàng)安裝任何Agent,不影響業(yè)務。


客戶收益
滿足合規

滿足IT内控、SOX、COBIT、等保等法案法規合規性審計要求; 2. 為(wèi)銀(yín)監部門(mén)提供運維管理的審計報(bào)表和原始準确的運維操作日志(zhì); 3. 有助于完善組織的IT内控與審計體系,使組織能(néng)夠順利通(tōng)過IT審計。


降低(dī)安全風險,快速故障定位和責任追蹤
采用堡壘主機(jī)的技(jì)術(shù),避免了非法終端、不安全終端直接連接核心資源,降低(dī)木(mù)馬、間諜、内部安全威脅等對核心資源造成的影響; 2. 發生(shēng)安全事(shì)故,通(tōng)過回放(fàng)操作記錄可快速、準确的進行責任鑒定和安全事(shì)件(jiàn)追蹤; 3. 作為(wèi)第三方獨立運維審計管理設備,實現了使用權、管理權與監督權的三權分立;同時也幫助監督人員(yuán)獲得有效的技(jì)術(shù)手段,完善銀(yín)行IT内控機(jī)制。
經典案例
  • 國(guó)家開(kāi)發銀(yín)行
  • 江蘇銀(yín)行
  • 徽商銀(yín)行
  • 湖(hú)北(běi)銀(yín)行
  • 安邦保險
  • 東方證券
  • 方正期貨
  • 光(guāng)大期貨
  • 恒生(shēng)電(diàn)子
  • 廣發期貨
  • 民(mín)生(shēng)證券
  • 浙江稠州商業(yè)銀(yín)行
  • 天弘基金
  • 招商銀(yín)行
  • 東亞銀(yín)行
  • 人民(mín)銀(yín)行
  • 國(guó)家開(kāi)發銀(yín)行
  • 中信信托
  • 浙商銀(yín)行
  • 平安保險
  • 人民(mín)保險
  • 上(shàng)海東方财富期貨有限公司
  • 商盟商務服務有限公司
  • 上(shàng)海拍拍貸金融信息服務有限公司
Copyright © 2019 All Rights Reserved Designed
杭州樂桦網絡科技有限公司